Un reciente informe anual de contenedores de la startup Slim.AI ha revelado las dificultades que enfrentan las organizaciones para mantenerse al día con las vulnerabilidades dentro de la compleja cadena de suministro de software. El informe indica que más del 40% de las empresas siguen en modo reactivo cuando se trata de abordar hallazgos de seguridad críticos en aplicaciones y contenedores. A pesar de la asignación de recursos significativos, solo un escaso 12% de las organizaciones afirman cumplir exitosamente con sus objetivos de remediación.
El informe de contenedores, basado en el análisis interno de Slim, revisó imágenes de contenedores públicas en repositorios principales y presentó hallazgos de una encuesta realizada a profesionales de seguridad informática e ingeniería de software en grandes organizaciones. El informe reveló que la remediación de vulnerabilidades resultó ser un desafío significativo para la mayoría de las organizaciones, con solo un 12% de líderes de seguridad afirmando haber logrado sus objetivos de remediación.
La comunicación excesiva y la gestión de vulnerabilidades en líneas empresariales destacaron como tareas pesadas para ambas partes. La encuesta encontró que el 63% de las organizaciones tienen dificultades para gestionar varios productores de software, mientras que el 67% cree que las imágenes de contenedores externos aumentan su superficie de ataque. Esto enfatiza la necesidad de una mejor plataforma de colaboración para gestionar eficazmente las vulnerabilidades, un sentimiento compartido por el 84% de los líderes de seguridad.
Otro problema planteado en el informe es la prevalencia de la «fatiga de alerta» causada por alertas frecuentes de vulnerabilidad y una alta tasa de falsos positivos. Aproximadamente el 44% de las organizaciones informaron encuentros con vulnerabilidades en sistemas de producción que requerían atención inmediata varias veces a la semana, mientras que el 36% las encontraba a diario.
El estudio también mostró un aumento del 39% en el número de recuentos de Vulnerabilidades y Exposiciones Comunes (CVE) en 2023, lo que indica la creciente preocupación por la fatiga de alerta dentro de las organizaciones. A pesar de la aceleración simultánea de las actualizaciones de paquetes de código abierto, las versiones de contenedores y la respuesta a incidentes, el número de vulnerabilidades sigue aumentando.
La presión regulatoria se suma a la complejidad. Una de cada tres organizaciones lucha por cumplir con las directrices en evolución y el 85% tiene que realizar esfuerzos adicionales para alinearse con órdenes ejecutivas.
El informe advierte que la gestión ineficaz de las vulnerabilidades de los contenedores puede afectar negativamente la innovación empresarial, el rendimiento, la productividad y la dinámica del equipo. De hecho, el 46% de las organizaciones informaron problemas de rendimiento y tiempo de inactividad debido a una remediación de vulnerabilidad ineficaz.
Ayse Kaya, vicepresidenta de estrategia y análisis de Slim.AI, enfatizó los desafíos que enfrentan los equipos de ingeniería de software y seguridad al lidiar con desafíos de seguridad. El informe tiene como objetivo profundizar en estos desafíos y arrojar luz sobre las complejidades de la remediación de vulnerabilidades dentro del ecosistema de intercambio de software.
The source of the article is from the blog oinegro.com.br